{"id":5819,"date":"2023-12-15T23:00:23","date_gmt":"2023-12-15T22:00:23","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=5819"},"modified":"2023-12-15T23:00:23","modified_gmt":"2023-12-15T22:00:23","slug":"snappytcp-linux-zlonamjerni-softver-sa-c2-sposobnostima","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2023\/12\/15\/snappytcp-linux-zlonamjerni-softver-sa-c2-sposobnostima\/","title":{"rendered":"SnappyTCP Linux zlonamjerni softver sa C2 sposobnostima"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\">Sigurnosni istra\u017eiva\u010di kompanije <em>PwC<\/em> su otkrili <em>SnappyTCP<\/em> <em>Linux<\/em> <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerni softver<\/a> sa <em>C2<\/em> sposobnostima. Radi se o zlonamjernom softveru sa obrnutim <em>TCP<\/em> komandnim okru\u017eenjem za <em>Linux<\/em> ili <em>Unix<\/em> operativne sisteme iza kojeg stoji zlonamjerni akter pod nazivom <em>Teal<\/em> <em>Kurma<\/em> (poznat jo\u0161 kao <em>Sea Turtle, Marbled Dust<\/em> i <em>Cosmic<\/em> <em>Wolf<\/em>).<\/span><\/p>\n<div id=\"attachment_5823\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-5823\" class=\"size-full wp-image-5823\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/12\/SnappyTCP.jpg\" alt=\"SnappyTCP Linux\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/12\/SnappyTCP.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/12\/SnappyTCP-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/12\/SnappyTCP-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/12\/SnappyTCP-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/12\/SnappyTCP-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/12\/SnappyTCP-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/12\/SnappyTCP-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-5823\" class=\"wp-caption-text\">SnappyTCP Linux zlonamjerni softver sa C2 sposobnostima; Source: Bing Image Creator<\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sajberinfo.com\/en\/2023\/12\/15\/snappytcp-linux-zlonamjerni-softver-sa-c2-sposobnostima\/#TEAL_KURMA\" >TEAL KURMA<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sajberinfo.com\/en\/2023\/12\/15\/snappytcp-linux-zlonamjerni-softver-sa-c2-sposobnostima\/#SNAPPYTCP\" >SNAPPYTCP<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sajberinfo.com\/en\/2023\/12\/15\/snappytcp-linux-zlonamjerni-softver-sa-c2-sposobnostima\/#Detaljnija_analiza\" >Detaljnija analiza<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sajberinfo.com\/en\/2023\/12\/15\/snappytcp-linux-zlonamjerni-softver-sa-c2-sposobnostima\/#METE_NAPADA\" >METE NAPADA<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/sajberinfo.com\/en\/2023\/12\/15\/snappytcp-linux-zlonamjerni-softver-sa-c2-sposobnostima\/#ZAKLJUCAK\" >ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/sajberinfo.com\/en\/2023\/12\/15\/snappytcp-linux-zlonamjerni-softver-sa-c2-sposobnostima\/#ZASTITA\" >ZA\u0160TITA<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"TEAL_KURMA\"><\/span><span style=\"font-size: 14pt;\"><strong><em>TEAL KURMA<\/em><\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>Teal Kurma<\/em> je <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerni akter<\/a> iz Turske i bio je veoma aktivan izme\u0111u 2018. godine i 2020. godine prije nego \u0161to je nestao privremeno nestao iz sigurnosnih izvje\u0161taja. Dok je ovaj zlonamjerni akter bio aktivan, bio je uklju\u010den u dugotrajne napade velikih razmjera na <em>DNS<\/em> servere. <em>DNS<\/em> napadi podrazumijevaju da zlonamjerni akter u njima manipuli\u0161e na\u010dinom rje\u0161avanja <em>DNS<\/em> upita, \u0161to dovodi do preusmjeravanja korisnika na zlonamjerne internet lokacije. \u010cini se da je <em>Teal Kurma<\/em> zlonamjerni akter promijenio svoju taktiku kako i mogao koristiti dodatne alate koje jo\u0161 uvijek koristi kako bi postigao ciljeve svojih akcija \u0161pijuna\u017ee.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"SNAPPYTCP\"><\/span><span style=\"font-size: 14pt;\"><strong><em>SNAPPYTCP<\/em><\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Prema dosada\u0161njim saznanjima, <em>Teal Kurma<\/em> je zlonamjerni akter je u pro\u0161losti bio fokusiran na iskori\u0161tavanje ranjivosti kako bi dobio inicijalni pristup. Pretpostavlja se da je zlonamjerni akter nastavio da iskori\u0161tava ranjivosti, posebno trenutnim iskori\u0161tavanjem ranjivosti kao \u0161to su <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2021-44228\" target=\"_blank\" rel=\"noopener\"><em>CVE-2021-44228<\/em><\/a><em>, <\/em><a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2021-21974\" target=\"_blank\" rel=\"noopener\"><em>CVE-2021-21974<\/em><\/a> i <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/cve-2022-0847\" target=\"_blank\" rel=\"noopener\"><em>CVE-2022-0847<\/em><\/a>. Jednom kada dobije pristup <em>Teal Kurma<\/em> zlonamjerni akter pokre\u0107e skriptu komandnog okru\u017eenja koja ubacuje izvr\u0161nu datoteku koja poziva server na internetu koji kontroli\u0161e zlonamjerni akter.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Internet komandno okru\u017eenje je jednostavna verzija obrnutog <em>TCP<\/em> komandnog okru\u017eenja a <em>Linux<\/em> ili <em>Unix<\/em> operativne sisteme sa osnovnim <em>C2<\/em> mogu\u0107nostima i vjerovatno se koristi za uspostavljanje prisustva u korisni\u010dkom okru\u017eenju. Postoje najmanje dvije osnovne varijante ovog zlonamjernog softvera od kojih jedna koristi <em>OpenSSL<\/em> za stvaranje bezbjedne veze preko <em>TLS<\/em> protokola, dok druga verzija \u0161alje zahtjeve u obi\u010dnom tekstu.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Detaljnija_analiza\"><\/span><span style=\"font-size: 14pt;\"><strong>Detaljnija analiza<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Sigurnosni istra\u017eiva\u010di su primijetili da se mnoge <em>SnappyTCP<\/em> binarne datoteke \u010desto kompajliraju sa setovima povezanih programa. Primije\u0107eno je i da je <em>GNU C<\/em> biblioteka (<em>GLIBC<\/em>) stati\u010dki povezana u binarnu datoteku koja programeru zlonamjernog softvera nudi mogu\u0107nost da sve zadr\u017ei u sebi i da ne mora da se povezuje sa direktorijumom datoteka biblioteke na ciljnoj ma\u0161ini.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Zbog nedostatka podatka datuma kompajliranja binarne datoteke sigurnosni istra\u017eiva\u010di nisu mogli da pove\u017eu kompajliranje setovima povezanih programa sa evolucijom zlonamjernog softvera. Za ovo postoje dva mogu\u0107a razloga. Prvi je da postoji vi\u0161e programera koji kompajliraju zlonamjerni softver za zlonamjernog aktera. Drugi razlog je mo\u017eda taj da uzorke kompajlira jedan programer, ali on unakrsno kompajlira izvorni k\u00f4d za razli\u010dite arhitekture. Prvi razlog bi mogao govoriti o razmjerama operacije, dok bi drugi razlog vi\u0161e odgovarao specifi\u010dnim potrebama ciljanja zlonamjernog aktera.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Analiza je jo\u0161 pokazala da obrnuto <em>TCP<\/em> komandno okru\u017eenje ima identi\u010dan k\u00f4d jednom <em>GitHub<\/em> repozitoriju, sa jednom razlikom u <em>TLS<\/em> varijanti: izvr\u0161na datoteka pod nazivom <em>pthread<\/em> pokre\u0107e <em>bash<\/em> proces pod nazivom \u201c<em>update<\/em>\u201d umjesto \u201c<em>connector<\/em>\u201d koji se pokre\u0107e u k\u00f4du <em>GitHub <\/em>repozitorija. Uo\u010deno je jo\u0161 uzoraka u repozitoriju koji se koriste za uspostavljanje obrtnog komandnog okru\u017eenja, bilo preko <em>TCP<\/em> ili <em>UDP<\/em>, koji sadr\u017ee <em>IP<\/em> adrese za koje se sumnja da su povezane sa <em>Teal<\/em> <em>Kurma<\/em> aktivnostima.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Nije mogu\u0107e jasno utvrditi da li zlonamjerni akter kontroli\u0161e <em>GitHub <\/em>repozitorij ili samo zloupotrebljava tu\u0111i k\u00f4d, ali sa obzirom na preklapanje izme\u0111u k\u00f4da i <em>IP<\/em> adresa, postoji realna vjerovatno\u0107a da je repozitorij ipak pod kontrolom zlonamjernog aktera.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"METE_NAPADA\"><\/span><span style=\"font-size: 14pt;\"><strong>METE NAPADA<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Zlonamjerni akter se fokusira na napade na vlade, telekomunikacije i <em>IT<\/em> usluge. Svaki od ovih sektora sadr\u017ei niz informacija visoke vrijednosti. Organizacije u sektoru telekomunikacija imaju podatke o svojim klijentima, koji u zavisnosti od pru\u017eaoca usluge mogu biti metapodaci vezani za veze sa internet lokacijama ili evidencije poziva. Dok tehnolo\u0161ke kompanije mogu biti meta napada u lancu snabdijevanja, posebno tamo gdje pru\u017eaju usluge klijentima. Ovakve informacije zlonamjerni akter mo\u017ee iskoristiti u svrhe nadzora ili za prikupljanje tradicionalnih obavje\u0161tajnih podataka o aktivnostima odre\u0111enih meta. Dodatni mete koje cilja <em>Teal Kurma<\/em> je zlonamjerni akter tako\u0111e sadr\u017ee niz informacija visoke vrijednosti, a to su <em>NVO<\/em> i sektor medija i zabave.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Geografski gledano, ciljevi su procijenjeni na osnovu <em>TLS<\/em> certifikata koje koristi ovaj zlonamjerni akter koristi, a odnose se na region Bliskog Istoka i Sjeverne Afrike, dok su neke od aktivnosti <em>SnappyTCP<\/em> zlonamjernog softvera vrlo vjerovatno fokusirane na evropske zemlje, posebno one koje se nalaze na Mediteranu.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><span style=\"font-size: 14pt;\"><strong>ZAKLJU\u010cAK<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Zlonamjerni akter iskori\u0161tavanjem poznatih ranjivosti dobija pristup ure\u0111ajima na kojima pokre\u0107e <em>SnappyTCP<\/em> zlonamjerni softver koji je jednostavna verzija obrnutog <em>TCP<\/em> komandnog okru\u017eenja za <em>Linux<\/em> ili <em>Unix<\/em> operativne sisteme sa osnovnim <em>C2<\/em> mogu\u0107nostima i vjerovatno se koristi za uspostavljanje prisustva u korisni\u010dkom okru\u017eenju.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Ono \u0161to pokre\u0107e ovog zlonamjernog aktera je skoro sigurno prikupljanje informacija koje mogu da unaprijede neku vrstu ekonomskog ili politi\u010dkog interesa, ali fokus je na vr\u0161enju \u0161pijuna\u017ee. Pa\u017eljiviji analiza \u017ertvi poma\u017ee u procjeni vrste skupova podataka za koje je zainteresovan ovaj zlonamjerni akter. To su obi\u010dno poslovne organizacije u sektoru telekomunikacija, <em>IT<\/em> usluga, <em>NVO<\/em> i sektor medija i zabave.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Geografski gledano, mete napada se nalaze u regionu Bliskog Istoka, Sjeverne Afrike i evropskih zemlja koje se nalaze na Mediteranu.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span><span style=\"font-size: 14pt;\"><strong>ZA\u0160TITA<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Sigurnosni istra\u017eiva\u010di korisnicima i poslovnim organizacijama preporu\u010duju da prate evidencije doga\u0111aja u sistemskim okru\u017eenjima, kao i da konfiguri\u0161u upozorenja na indikatore ili sadr\u017eaje navedene <a href=\"https:\/\/www.pwc.com\/gx\/en\/issues\/cybersecurity\/cyber-threat-intelligence\/tortoise-and-malwahare.html\" target=\"_blank\" rel=\"noopener\">ovdje<\/a>. Ako se pojavi upozorenje za navedene indikatore ili sadr\u017eaje, preporuka je da se istra\u017ei njihovo porijeklo uz forenzi\u010dku analizu. Ako se ne prona\u0111u zna\u010dajniji nalazi, onda je potrebno blokirati navedene zlonamjerne indikatore.<\/span><\/p>\n<p>&nbsp;<\/p>","protected":false},"excerpt":{"rendered":"<p>Sigurnosni istra\u017eiva\u010di kompanije PwC su otkrili SnappyTCP Linux zlonamjerni softver sa C2 sposobnostima. Radi se o zlonamjernom softveru sa obrnutim TCP komandnim okru\u017eenjem za Linux ili Unix operativne sisteme iza kojeg stoji zlonamjerni akter&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":5823,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[628,632,141,631,630,626,627,629],"class_list":["post-5819","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-c2","tag-cosmic-wolf","tag-linux","tag-marbled-dust","tag-sea-turtle","tag-snappytcp","tag-teal-kurma","tag-unix"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/5819","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=5819"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/5819\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/5823"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=5819"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=5819"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=5819"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}